Embed Size (px)
DESCRIPTION
PROTOKOLLSBILAGA C Fullmäktiges protokoll 2011-12-16, § 7. Riksbankens diarienummer 2011-97-STA. Uppföljning av vidtagna åtgärder från 2010 års granskning. Valutareservförvaltningen och IT-säkerhetsskydd. - PowerPoint PPT Presentation
Citation preview
Uppföljningav vidtagna
åtgärder från 2010 års
granskning
Valutareservförvaltningen och IT-säkerhetsskydd
PROTOKOLLSBILAGA CFullmäktiges protokoll 2011-12-16, § 7
Riksbankens diarienummer 2011-97-STA
Uppföljning av vidtagna åtgärder avseende valutareservförvaltningen och direktionens säkerställande av IT-säkerhetsskydd (från 2010 års granskning)
Granskningens omfattning och genomförande
Under 2010 gjorde REV granskning av valutareservsförvaltningen samt direktionens säkerställande av IT-säkerhetsskydd.
REV har 2011 genomfört uppföljning av de åtgärder som banken vidtagit dels med anledning av iakttagelserna och dels på grund av de inom banken införda nya rutinerna.
Granskningen har genomförts genom intervjuer med ledningen för Avdelningen för Kapitalförvaltningen (KAP), Middle Office (MO) och Riskenheten (RIE) samt inläsning av relevant dokumentation.
22011-12-16
Uppföljning av vidtagna åtgärder avseende valutareservförvaltningen
Granskningen 2010REV granskade processer, rutiner och aktiviteter som genomförs av banken för att säkerställa att beslutade restriktioner (limiter) tillämpas i verksamheten och systemstödet (Dimension).
Vår granskning utmynnade i två rekommendationer riktade till KAP avseende rutiner och åtgärder vid implementation av restriktionerna i systemstöd (Dimension):
1. Rutiner för Middle Office implementation och uppföljning av limiter i Dimension bör formellt dokumenteras på en övergripande nivå så att tydigheten i ansvar och genomförande av åtgärder ökar.
2. Vi rekommenderar att Middle Office dokumenterar sin uppföljning av befintliga/oförändrade limiter och de nya/förändrade i samband med Direktionens beslut om restriktioner i Risk- eller Investeringspolicy.
Vidare gav vi två rekommendationer till RIE avseende verifiering av tillämpade restriktioner:
1. Även om ansvarsfördelningen mellan Middle Office och Riskenheten, i fråga om hantering av limiter, finns tydligt uttalad rekommenderar vi att Riskenhetens åtgärder och rutiner för kontroll av restriktionernas tillämpning formellt dokumenteras.
2. Riskenhetens kontrollåtgärder bör även omfatta att regelbundet verifiera de i Dimension inlagda värdena för samtliga limiter. Lämpligen kan detta göras genom att köra ett script (litet program) som hämtar ut limitdata från Dimension för att sedan jämföras med beslutade värden. Liknande script används idag av Riskenheten för kontroll av limitöverträdelser.
I årets granskning har vi följt upp de åtgärder som vidtagits med anledning av rekommendationerna.
32011-12-16
Uppföljning av vidtagna åtgärder avseende valutareservförvaltningen
2010-års rekommendationer till KAP
1. Rutiner för Middle Office implementation och uppföljning av limiter i Dimension bör formellt dokumenteras på en övergripande nivå så att tydigheten i ansvar och genomförande av åtgärder ökar.
Granskningsresultat 2011
KAP har utarbetat en rutinbeskrivning: ”Uppföljning av regelefterlevnad inom tillgångsförvaltningen (DNR 2011-202-KAP)”. KAP har stegvis förstärkt uppföljningen från december 2010 och nuvarande rutin beslutades 2011-09-02. Dokumentet beskriver de generella principer för hur MO ska verka för att regelefterlevnad säkerställs i fyra steg:
n Chefen för MO ska tillse att uppföljning sker av efterlevnad av relevanta regler, limiter och mandat beslutade av direktionen.
n Chefen för MO ska tillse att uppföljning sker av efterlevnad av relevanta regler, limiter och mandat beslutade av chefen för KAP.
n Chefen för MO ska sörja för att en förändringsanalys genomförs när ändringar görs i policy- eller regeldokument samt när nya styrdokument tillkommer.
n Oberoende förändringsanalyser ska genomföras av minst två personer inom MO för att reducera risken för bristande uppföljning.
42011-12-16
Uppföljning av vidtagna åtgärder avseende valutareservförvaltningen
2010-års rekommendationer till KAP
1. Rutiner för Middle Office implementation och uppföljning av limiter i Dimension bör formellt dokumenteras på en övergripande nivå så att tydigheten i ansvar och genomförande av åtgärder ökar.
Granskningsresultat 2011, fortsättning
Rutinen beskriver vad som ska göras och REV har den uppfattningen att tydligheten i rutinen för genomförande kan förbättras genom att även beskriva hur efterlevnad ska följas upp och hur implementeringsarbetet ska dokumenteras. Vidare ser REV en möjlighet att förtydliga i rutinen att även instruktionerna för hur oförändrade regler och limiter, som tidigare implementerats, ska följas upp.
Rekommendation från 2011-års granskning
REV rekommenderar KAP att komplettera rutinen så att det tydligt framgår på vilket sätt (hur) chefen för MO ska följa upp efterlevnad av relevanta regler, limiter och mandat beslutade av direktionen och vilken dokumentation som ska utarbetas i samband med detta.
52011-12-16
Uppföljning av vidtagna åtgärder avseende valutareservförvaltningen
2010-års rekommendationer till KAP2. Vi rekommenderar att Middle Office dokumenterar sin uppföljning av
befintliga/oförändrade limiter och de nya/förändrade i samband med direktionens beslut om restriktioner i Risk- eller Investeringspolicy.
Granskningsresultat 2011
I tidigare nämnda rutinbeskrivning framgår att MO ska dokumentera den förändringsanalys som sker i samband med direktionens beslut om restriktioner. Då direktionen inte har beslutat om restriktioner under den tid rutinen har varit i kraft, har MO ännu inte genomfört någon uppföljning i enlighet med den beslutade rutinbeskrivningen. REV har därmed inte haft möjlighet att bedöma den dokumentation som avses utarbetas.
REV ser dock att det finns goda förutsättningar att uppföljningen dokumenteras ändamålsenligt och i erforderlig omfattning under förutsättning att det tydligt framgår hur uppföljningen ska genomföras och dokumenteras.
62011-12-16
Uppföljning av vidtagna åtgärder avseende valutareservförvaltningen2010-års rekommendationer till RIE
1. Även om ansvarsfördelningen mellan Middle Office och Riskenheten, i fråga om hantering av limiter, finns tydligt uttalad rekommenderar vi att Riskenhetens åtgärder och rutiner för kontroll av restriktionernas tillämpning formellt dokumenteras.
Granskningsresultat 2011
RIE har utarbetat: ”Rutinbeskrivning för att verifiera data i Dimension (DNR 2011-153-STA)”. Ett första utkast fanns tillhanda i mars 2011 och nuvarande utgåva beslutades 2011-09-28. Dokumentet beskriver de verktyg som används veckovis och de åtgärder som vidtas för att verifiera olika typer av data:
1. LimitCheck – Kontroll av antalet beräknade limiter per dag samt visar ev. limitgenombrott.
2. Dimension audit control – Visar tillagda objekt och förändringar av 25 st. särskilt utvalda objekt.
3. Kontroll av direktionslimiter – Visar aktuella direktionslimiter i Dimension och jämför med beslutade. Se REV rekommendation 2.
4. Kontroll av avvecklingslimiter – RIE använder denna för kontroll av ev. limitgenombrott av avvecklingslimiter.
REV bedömer att åtgärder vidtagna av RIE uppfyller rekommendation 1 från 2010-års granskning.
72011-12-16
Uppföljning av vidtagna åtgärder avseende valutareservförvaltningen
2010-års rekommendationer till RIE2. Riskenhetens kontrollåtgärder bör även omfatta att regelbundet verifiera de i Dimension
inlagda värdena för samtliga limiter. Lämpligen kan detta göras genom att köra ett script (litet program) som hämtar ut limitdata från Dimension för att sedan jämföras med beslutade värden. Liknande script används idag av Riskenheten för kontroll av limitöverträdelser.
Granskningsresultat 2011
RIE har tagit fram ett script (litet program) som körs veckovis där aktuella direktionslimiter hämtas ur Dimension och jämförs med de limiter som gäller i den finansiella riskpolicyn, direktionens riskregler, placeringsregler och investeringspolicyn.
Varje körning dokumenteras i en log där även eventuella justeringar som gjorts dokumenteras ( t.ex. ny emittent EFSF i juli).
REV har granskat scriptets utformning samt dess användning och ser det som ändamålsenligt med tydliga indikeringar i de fall direktionslimiter i Dimension inte stämmer överens med beslutade.
REV bedömer att åtgärder vidtagna av RIE uppfyller rekommendation 2 från 2010-års granskning.
82011-12-16
Uppföljning av nytt regelverk avseende IT-säkerhetsskyddGranskning 2010
REV granskade hur direktionen säkerställer att ett effektivt säkerhetsskydd inom IT upprätthålls,hur efterlevnad till beslutade regelverk avseende informationssäkerhet utvärderas och rapporteras till direktionen samt hur informationsincidenter rapporteras till direktionen. REV slutsats var att arbetssättet inom Riksbanken var under omarbetning. Vi bedömde att en djupare granskning var adekvat först efter införande av det omarbetade arbetssättet.
Granskning 2011I årets granskning har vi utvärderat det nya arbetssättet och det förändrade regelverket som utarbetats som en del av Projekt RITS (Rätt IT-Säkerhet).
RITS slutrapporterades 2011-10-31 och under projektets gång har ett antal styrdokument och verktyg/mallar utarbetats bl.a.:
Regel: Styrning av IT-säkerhet på Riksbanken (DNR 2010-703-STA)Rutinbeskrivning: Styrning av IT-säkerhet på Riksbanken (DNR 2010-703-STA)Handledning: Styrning av IT-säkerhet på Riksbanken (DNR 2010-703-STA)Styrdokument: Basnivådokument (en katalog av rekommenderade IT-säkerhetsåtgärder)Rutinbeskrivning: Kritikalitetsbedömning för IT-stöd (DNR 2010-703-STA) Utöver dessa finns mallar och verktyg framtagna bl.a. för kritikalitetsbedömning för IT-stöd och val av IT-säkerhetsåtgärder
92011-12-16
Uppföljning av nytt regelverk avseende IT-säkerhetsskyddProjekt RITS var ursprungligen planerad att slutföras den 31 mars 2011 men projektets slutdatum flyttades fram vid ett antal tillfällen och slutfördes den 15 september. Vid planeringen av årets revision valde REV att lägga granskningen relativt sen på året (november) för att kunna ta del av en eller flera faktiska tillämpningar av det nya arbetssättet. På grund av förseningarna för RITS fanns dock inget IT-stöd som hade fullföljt det nya arbetssättet vid tidpunkten för revisionen. Granskningen har därför inriktats mot att bedöma resultatet av RITS samt att granska ändamålsenligheten i de styrdokument och verktyg som ska användas framöver.
Arbetssättet som har tagits fram bygger på ESCB metodik där Riksbanken har fastställt att systemägaren bedömer IT-stödets kritikalitet för att sedan välja och införa IT-säkerhetsåtgärder samt att slutligen följa upp eventuellt kvarvarande risker inför beslut om driftsättning.
REV bedömer att arbetssättet har goda förutsättningar att ge det stöd verksamheten behöver för att kunna ge ett ändamålsenligt IT-säkerhetsskydd.
Vi noterade att RITS inriktats mot tekniska säkerhetslösningar men där angränsande, och i vår bedömning, viktiga processer och lösningar ej varit med. Projektet avgränsades från övergripande IT-styrning (systemförvaltning, projektstyrning m.m.) och det vidare begreppet informationssäkerhet som bl.a. beaktar administrativa aspekter såsom tilldelning och borttagning av åtkomst till IT-stöd.
102011-12-16
Uppföljning av nytt regelverk avseende IT-säkerhetsskydd
Projekt RITS lyfte fram tre aktiviteter som har legat utanför projektets mandat men som bör genomföras av banken: 1.Genomgång av Riksbankens IT-miljöMed syfte att identifiera risker i den befintliga miljön där Riksbankens IT-stöd inte uppfyller basnivån för IT-säkerhet. Detta gäller de mest kritiska systemen RIX, Colin, Dimension och Agresso. 2.Nulägesanalys avseende InformationssäkerhetAnalysen syftar till att ge ett underlag för att kvalitetssäkra upphandlingen inom RITVA*.3.Förvaltning av verksamhetssystemRITS identifierade oklarheter i Riksbankens förvaltningsmodell(er), främst avseende organisation och ansvar. För att få ett enhetligt arbetssätt med tydliga roller och ansvar rekommenderas Riksbanken att se över hela förvaltningsmodellen i samband med RITVA.
Enligt uppgift har arbete påbörjats för den första punkten medan punkt två och tre är direkt inriktade mot RITVA och kommer att tas upp till diskussion under våren 2012.
Att dela upp säkerhetsarbetet i tekniska åtgärder och övriga åtgärder är inte optimalt ur ett säkerhets- eller riskperspektiv men kan vara svårt att förena då IT-avdelningen svarar för bassystemen och att tillhandahålla tekniska lösningar medan administrativa åtgärder företrädesvis hanteras av verksamheten. Bedömningen REV gör är dock att det är av stor vikt att Riksbanken har ett tydlig och enhetlig sätt att hantera dessa frågor inför en upphandling av utkontraktering av IT-verksamheten.
* Prövning av Riksbankens IT-verksamhet mot utförandekriterierna – Projekt för utkontraktering/outsourcing av IT-verksamheten.
112011-12-16
